Wie Chinas Cybersecurity-Gesetz auf deutsche Unternehmen wirkt
Inhaltlich umfasst das Cybersecurity-Gesetz (Chinesisch: 中华人民共和国网络安全法. Pinyin: zhōnghuá rénmín gònghéguó wǎngluò ānquán fǎ) verschiedene Themen: Es geht um datenschutzrechtliche Aspekte, also die Frage, welche Daten man unter welchen Umständen erheben kann, wie lange man sie speichern und auf welche Art man sie nutzen darf. Darunter fallen personenbezogene Daten wie etwa Geburtstag, E-Mail-Adressen und Kontonummer.
Schreckensszenario: Behörden haben jederzeit Zugriff auf Daten
Wer die Regelungen zum Datenschutz zwischen Deutschland und China vergleicht, dem fallen Gemeinsamkeiten, aber auch viele Unterschiede auf. Im Gegensatz zur DSGVO, bei der der Schutz von individuellen Rechten im Vordergrund steht, wählt der chinesische Gesetzgeber einen anderen Ansatz. Das Cybersecurity-Gesetz verlangt von Netzwerkbetreibern, den Behörden jederzeit den kompletten Zugang zu allen Daten zu gewähren.
Unternehmen, die mit einer Vielzahl von Kundendaten zu tun haben, müssen sich regelmäßigen Tests und der Zertifizierung ihrer Computer-Hardware unterziehen. Netzwerkbetreiber sind ebenso dazu angehalten, ein internes Security-Management-System einzuführen, sowie sicherzustellen, dass die Verbreitung von Viren und Cyberangriffe möglichst erschwert werden. Zudem verlangt das Cybersecurity-Gesetz nach einem regelmäßigen Backup sowie einer wirkungsvollen Verschlüsselung von Daten.
Bestimmungen für ausländische Unternehmen werden immer strenger
Ein weiterer wichtiger Aspekt des Cybersecurity-Gesetzes ist die Verpflichtung für Unternehmen, Daten, die innerhalb Chinas gesammelt wurden, nicht ohne Weiteres ins Ausland zu übermitteln. Das gilt insbesondere für Daten aus dem wirtschaftlichen und technologischen Bereich, aber auch für wissenschaftliche Daten, falls die Herausgabe die nationale Sicherheit gefährdet oder „das öffentliche Interesse“ dem entgegensteht. In Artikel 9 des Gesetzes heißt es: „Netzbetreiber müssen soziale Normen und Geschäftsethik einhalten, ehrlich und glaubwürdig sein sowie Verpflichtungen zum Schutz der Netzsicherheit erfüllen, die Aufsicht von Regierung und Öffentlichkeit akzeptieren und soziale Verantwortung tragen.“
In den letzten zwei Jahren wurden diese Bestimmungen vonseiten der chinesischen Behörden zunehmend strenger ausgelegt und ihre Einhaltung immer häufiger überwacht. Seit Juli 2019 müssen alle Netzwerkbetreiber, die personenbezogene Daten von China aus in ein Drittland übermitteln (betrifft praktisch alle Unternehmen, die in China geschäftlich tätig sind), eine Sicherheitsbewertung durchführen.
Internationale Anwälte sorgen sich wegen Zugang zum Quellcode
Internationale Anwaltskanzleien zeigen sich besonders über den uneingeschränkten Zugang der chinesischen Behörden zu Quellcode, Verschlüsselung oder anderen wichtigen Informationen besorgt. Sie befürchten, dass diese in die Hand von Wettbewerbern gelangen und den Geschäftserfolg in China gefährden können. Denn das Cybersecurity-Gesetz lässt viel Raum für Interpretationen, was die Begriffe „öffentliche Sicherheit“ und „nationales Interesse“ angeht.
Um die Anforderungen der chinesischen Behörden zu erfüllen, müssen deutsche Unternehmen, die über eine Foreign-Invested-Company in China verfügen, in neue lokale Datenserver investieren, die vor Ort von der Regierung überprüft werden müssen. Das bedeutet einen erheblichen Aufwand und hohe Kosten. Auch deutsche Unternehmen, die nicht über Büros oder Fabriken in China verfügen, müssen sich für einen lokalen Webhost entscheiden, wenn sie bestimmte Online-Marketing-Maßnahmen durchführen wollen, wie zum Beispiel Werbeanzeigen auf Baidu zu schalten.
Ob Maschinenbau-Unternehmen oder Bildungsanbieter: Alle sind betroffen
Das Cybersecurity-Gesetz hat die Arbeit internationaler Unternehmen in China zunehmend erschwert. Ein Maschinenbauhersteller konnte vor Inkrafttreten der Regelungen beispielsweise Testdaten seiner Maschinen an die Firmenzentrale nach Deutschland übermitteln, um diese auszuwerten. Dabei nutzte er globale Echtzeitdaten, um den Betrieb zu optimieren.
Für einen Bildungsanbieter war es möglich, Daten von Interessenten über ein Onlineformular zu sammeln und direkt an Universitäten im Ausland weiterzuleiten. Jetzt müssen solche Unternehmen ihre IT-Systeme neu konfigurieren.
Fazit: Wer als Unternehmen nicht mit den chinesischen Behörden in Schwierigkeiten kommen will, sollte Daten möglichst in China speichern. Es sollte zudem eine Kontaktaufnahme mit Datenverarbeitern hinsichtlich der Rahmenbedingungen der grenzüberschreitenden Datenübermittlung erfolgen und eine Sicherheitsbewertung der eigenen Firma durchgeführt werden.
… sollte mal jede/r selbst überlegen, inwieweit er/sie mit seinem Konsum-Verhalten zur Stärkung chin. Firmen und damit des chin. (kommunistischen) Staates beitragen möchte.